以下、図面に基づいて、本願の開示する表示方法、表示装置および表示プログラムの実施例を詳細に説明する。なお、本実施例により、開示技術が限定されるものではない。また、以下の実施例は、矛盾しない範囲で適宜組みあわせてもよい。
図1は、実施例1の表示装置の構成の一例を示すブロック図である。図1では、例えば、外部ネットワークN1に、外部の各種サーバや端末装置等を示す情報処理装置10、および、自組織の内部ネットワークN2とのゲートウェイの役目も果たすセキュリティセンサ20が接続される。内部ネットワークN2には、セキュリティセンサ20と、イベント管理装置30と、Webサーバ40と、端末装置50と、表示装置100とが接続される。内部ネットワークN2は、例えば、組織内のイントラネットであり、イントラネット内の各種装置が接続される。なお、内部ネットワークN2に接続される各種装置の数は限定されず、内部ネットワークN2には、任意の数の各種装置を接続できる。また、外部ネットワークN1には、有線または無線を問わず、インターネット(Internet)を始め、LAN(Local Area Network)やVPN(Virtual Private Network)などの任意の種類の通信網を採用できる。また、内部ネットワークN2には、有線または無線を問わず、LANやVPNなどの任意の種類の通信網を採用できる。
セキュリティセンサ20は、例えばファイアウォール、IDS/IPS、マルウェア(例えばメール不正プログラム)検知、Web不正プログラム検知等の機能を有する。セキュリティセンサ20は、これら各機能のイベントログをイベント管理装置30に送信する。また、セキュリティセンサ20は、外部ネットワークN1と内部ネットワークN2とのゲートウェイの機能を有する。
イベント管理装置30は、セキュリティセンサ20からイベントログを受信する。イベント管理装置30は、受信したイベントログに基づいて、相関分析を行い不正な通信を検出する。すなわち、イベント管理装置30は、自組織のセキュリティに関するイベントを管理する。イベント管理装置30は、不正な通信を検出した情報を、攻撃元および対象装置を特定する情報とともにアラート情報として表示装置100に送信する。また、イベント管理装置30は、例えば、マルウェア、IDS/IPS(以下、IPSと示す)、ファイアウォール等のイベントを、攻撃元および対象装置を特定する情報とともにイベント情報として表示装置100に送信する。
Webサーバ40は、例えば、内部ネットワークN2、セキュリティセンサ20および外部ネットワークN1を介して、例えば端末装置である情報処理装置10にWebページを提供する。端末装置50は、例えば、組織内のユーザが使用するパーソナルコンピュータ等であり、内部ネットワークN2、セキュリティセンサ20および外部ネットワークN1を介して、例えばWebサーバである情報処理装置10にアクセスする。また、端末装置50は、表示装置100で生成された画像を受信して、図示しない表示部に表示する。
表示装置100は、イベント管理装置30と接続され、イベント管理装置30からアラート情報およびイベント情報を受信する。なお、表示装置100は、内部ネットワークN2を介して、イベント管理装置30からアラート情報およびイベント情報を受信してもよい。表示装置100は、受信したアラート情報およびイベント情報に基づいて、自組織に対するサイバー攻撃の情報を表示する画像を生成し、内部ネットワークN2を介して端末装置50に表示させる。
続いて、表示装置100の構成を説明する。図1に示すように、表示装置100は、通信部110と、記憶部120と、制御部130とを有する。なお、表示装置100は、図1に示す機能部以外にも既知のコンピュータが有する各種の機能部、例えば各種の入力デバイスや音声出力デバイスなどの機能部を有することとしてもかまわない。
通信部110は、例えば、NIC(Network Interface Card)等によって実現される。通信部110は、イベント管理装置30と有線または無線で接続され、イベント管理装置30との間で情報の通信を司る通信インタフェースである。また、通信部110は、内部ネットワークN2と有線または無線で接続される。通信部110は、イベント管理装置30からアラート情報およびイベント情報のうち1つ以上を受信すると、受信したアラート情報およびイベント情報のうち1つ以上を制御部130に出力する。また、通信部110は、制御部130から画像が入力されると、内部ネットワークN2を介して端末装置50に送信する。さらに、通信部110は、内部ネットワークN2および外部ネットワークN1を介して、IP(Internet Protocol)アドレスと地理情報とを対応付けた情報を提供するサーバ(以下、地理情報サーバと称する。)からIPアドレスと地理情報とを対応付けた情報を受信して、制御部130に出力する。
記憶部120は、例えば、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、ハードディスクや光ディスク等の記憶装置によって実現される。記憶部120は、マスタ情報記憶部121と、統計情報記憶部122と、アラート情報記憶部123とを有する。また、記憶部120は、制御部130での処理に用いる情報を記憶する。
マスタ情報記憶部121は、例えば、地理情報サーバを用いて収集したIPアドレスと地理情報とを対応付けて記憶する。すなわち、マスタ情報記憶部121には、例えば、あるIPアドレスが、どこの国、州、都市等に割り当てられているかを記憶する。図2は、マスタ情報記憶部の一例を示す説明図である。図2に示すように、マスタ情報記憶部121は、「IPアドレス」、「地理情報」といった項目を有する。
「IPアドレス」は、例えば地理情報サーバを用いて収集したIPアドレスを示す。「IPアドレス」は、外部ネットワークN1に応じて、例えば、IPv4のIPアドレス、または、IPv6のIPアドレスを用いることができる。「地理情報」は、対応するIPアドレスが付与されている装置が地球上の何処に存在するかを示す。「地理情報」は、例えば、日本、アメリカ等の国単位でもよいし、東京都、カリフォルニア州等の広域行政単位、さらには、大阪市、上海市等の都市単位でもよい。
統計情報記憶部122は、イベント管理装置30から取得したイベント情報について統計解析を行った統計情報を記憶する。統計情報記憶部122は、例えば、ファイアウォールが通信を許可した件数や通信をブロックした件数、IPSで検知して遮断した侵入の件数、マルウェアを検知した件数等の統計情報を記憶する。図3は、統計情報記憶部の一例を示す説明図である。図3に示すように、統計情報記憶部122は、「時刻」、「攻撃元IPアドレス」、「攻撃先IPアドレス」、「FW許可件数」、「FW累計許可件数」、「FWブロック件数」、「FW累計ブロック件数」といった項目を有する。また、統計情報記憶部122は、「侵入阻止件数」、「累計侵入阻止件数」、「マルウェア検知件数」、「累計マルウェア検知件数」といった項目を有する。
「時刻」は、統計解析を行った時刻を示す。「時刻」は、例えば、1分ごととすることができる。「攻撃元IPアドレス」は、例えば、直前の統計解析を行った時刻から「時刻」で示す時刻までの間、例えば、1分間に発生したファイアウォールの突破を試みる攻撃等の攻撃元のIPアドレスを示す。「攻撃先IPアドレス」は、例えば、直前の統計解析を行った時刻から「時刻」で示す時刻までの間、例えば、1分間に発生した攻撃について、自組織内の標的となった装置のIPアドレスを示す。「攻撃先IPアドレス」は、例えば、組織内の内部ネットワークN2に接続されたWebサーバ等のIPアドレスを示す。「FW許可件数」は、統計解析を行う時間において、セキュリティセンサ20のファイアウォールを超える通信が許可された件数を示す。「FW累計許可件数」は、所定時間内、例えば1時間や1日における「FW許可件数」の累計値を示す。「FWブロック件数」は、統計解析を行う時間において、セキュリティセンサ20のファイアウォールでブロックされた通信の件数を示す。「FW累計ブロック件数」は、所定時間内、例えば1時間や1日における「FWブロック件数」の累計値を示す。
「侵入阻止件数」は、統計解析を行う時間において、例えばIPSが侵入を阻止した件数を示す。「累計侵入阻止件数」は、所定時間内、例えば1時間や1日における「侵入阻止件数」の累計値を示す。「マルウェア検知件数」は、統計解析を行う時間において、例えばマルウェアが検知された件数を示す。「累計マルウェア検知件数」は、所定時間内、例えば1時間や1日における「マルウェア検知件数」の累計値を示す。
アラート情報記憶部123は、イベント管理装置30から取得したアラート情報を記憶する。図4は、アラート情報記憶部の一例を示す説明図である。図4に示すように、アラート情報記憶部123は、「時刻」、「攻撃元IPアドレス」、「攻撃先IPアドレス」、「種別」、「対処済み」といった項目を有する。
「時刻」は、不正な通信を検出した時刻を示す。「攻撃元IPアドレス」は、不正な通信の攻撃元のIPアドレスを示す。「攻撃先IPアドレス」は、不正な通信の攻撃先、つまり、自組織内の標的となった装置のIPアドレスを示す。「種別」は、攻撃の種別を示す。「種別」は、例えば、マルウェアに感染した端末から攻撃者のサーバへの侵入応答に用いられるCallback、アプリケーションの脆弱性を突く攻撃にはAttack等が挙げられる。「対処済み」は、不正な通信に対して対処済みであるか否かを示す。「対処済み」は、例えば、不正な通信に対して対処済みである場合には「1」とし、未対処である場合には「0」とする。
図1の説明に戻って、制御部130は、例えば、CPU(Central Processing Unit)やMPU(Micro Processing Unit)等によって、内部の記憶装置に記憶されているプログラムがRAMを作業領域として実行されることにより実現される。また、制御部130は、例えば、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等の集積回路により実現されるようにしてもよい。制御部130は、取得部131と、生成部132と、出力部133とを有し、以下に説明する情報処理の機能や作用を実現または実行する。なお、制御部130の内部構成は、図1に示した構成に限られず、後述する情報処理を行う構成であれば他の構成であってもよい。
取得部131は、通信部110、内部ネットワークN2および外部ネットワークN1を介して、地理情報サーバから、IPアドレスと地理情報とを対応付けた情報を取得する。取得部131は、取得したIPアドレスと地理情報とを対応付けた情報を、マスタ情報記憶部121に記憶する。また、取得部131には、通信部110からアラート情報およびイベント情報のうち1つ以上が入力される。取得部131は、入力されたイベント情報を、例えば、所定の時間ごとに統計解析を行って統計情報を生成する。取得部131は、生成した統計情報を統計情報記憶部122に記憶する。また、取得部131は、入力されたアラート情報をアラート情報記憶部123に記憶する。
生成部132は、自組織に対するサイバー攻撃の情報を表示する画像を生成する。生成部132は、例えば、1分ごとに統計情報記憶部122およびアラート情報記憶部123を参照し、統計情報およびアラート情報を取得する。生成部132は、取得した統計情報およびアラート情報に基づいて、サイバー攻撃のレベルに応じた画像を生成する。生成部132は、生成した画像を出力部133に出力する。なお、生成部132は、生成する画像として、静止画像を生成して所定の時間間隔で更新するようにしてもよいし、動画像を生成してもよい。
ここで、図5を用いて画像の生成について説明する。図5は、攻撃を受けた場合の画像の一例を示す説明図である。図5に示すように、画像201は、中心に地球202が配置され、地球202の外側の衛星軌道203上に、サイバー攻撃の対象となる装置が配置される。衛星軌道203上には、例えば、「Firewall」、「Proxy」、「DNS」、「WebServer」、「WebClients」、「MailClients」、「LogServer」、「ManagerServer」といった装置が配置される。また、衛星軌道203上には、例えば、「AntivirusServer」、「Groupware」、「FileServer」、「MailServer」、「DirectoryServer」、「Non−Exists」といった装置が配置される。
生成部132は、各装置の配置として、例えば、外部にIPアドレスが公開されている装置が、それぞれ隣接するように衛星軌道203上に配置するようにしてもよい。また、生成部132は、同一種類の装置が複数ある場合に、当該各装置を1つに纏めて衛星軌道203上に配置してもよい。例えば、画像201では、「WebClients」は、複数のユーザ端末装置である場合が挙げられる。このとき、生成部132は、例えば、ユーザの操作によって「WebClients」が選択されると、複数のユーザ端末装置のそれぞれの情報が表示された画像を生成するようにしてもよい。これにより、ユーザ端末装置等の数が多い装置について、全体および個別の情報を分り易く表示することができる。
また、画像201は、地球202の表面に、ファイアウォールで検知した通信の発信元、すなわち攻撃元が配置される。生成部132は、マスタ情報記憶部121を参照してファイアウォールで検知した通信の攻撃元のIPアドレスから地理情報を取得する。生成部132は、例えば、地球202の表面について、取得した地理情報に対応する領域の明度または色を変更して、ファイアウォールで検知した通信を表示する。
また、画像201は、地球202の表面と衛星軌道203上の各装置との間に、IPSイベント、すなわち、衛星軌道203上の各装置に対して試みられた侵入の攻撃元を示す情報を表示するレイヤ205aが配置される。生成部132は、図5に示すように、IPSイベントを、例えば光点としてレイヤ205a上に配置することで表示する。
また、画像201は、マルウェアの検知を示す情報を表示するレイヤ205bが、レイヤ205aと衛星軌道203との間に配置される。生成部132は、図5に示すように、マルウェアの検知を、例えば、攻撃先の装置付近を頂点とした揺らぎをレイヤ205bに発生させて表示する。
また、画像201は、不正な通信を示す情報を表示するレイヤ205cが、レイヤ205bと衛星軌道203との間に配置される。生成部132は、図5に示すように、不正な通信を、例えば、攻撃先の装置付近を頂点とした揺らぎをレイヤ205cに発生させて表示する。生成部132は、不正な通信が行われた場合には、例えば、レイヤ205cの揺らぎの頂点を、衛星軌道203上の攻撃先の装置に達するように表示する。すなわち、生成部132は、サイバー攻撃のレベル、つまり脅威が低いほど当該レベルに対応するレイヤが地球202の表面の側に配置され、当該レベルが高いほど当該レベルに対応するレイヤが衛星軌道203上の各装置の側に配置された画像を生成する。
生成部132は、例えば、マルウェアの検知または不正な通信が発生していない場合に、地球202と同心円状となるように、レイヤ205bおよびレイヤ205cを配置する。このとき、レイヤ205bおよびレイヤ205cは、例えば、色を透明または背景色に近い色として目立たないようにする。生成部132は、マルウェアの検知または不正な通信が発生した場合には、レイヤ205bまたはレイヤ205cの攻撃先の装置付近を頂点とした揺らぎ、例えば、膜を突き破るような動きを発生させる。生成部132は、揺らぎを発生させた部分のレイヤ205bまたはレイヤ205cについて、例えば、識別しやすい色で描画する。言い換えると、生成部132は、揺らぎとして例えばオーロラ状の表現を行う。これにより、マルウェアまたは不正な通信が視覚化され、脅威を分り易く表示することができる。
さらに、生成部132は、マルウェアの検知、または、不正な通信が発生した場合に、衛星軌道203上の攻撃先の装置に、攻撃を受けたことを示す印を配置する。生成部132は、画像201の例では、衛星軌道203上の攻撃先の装置204に、攻撃を受けたことを示す印207を配置する。また、生成部132は、マスタ情報記憶部121を参照して、マルウェアまたは不正な通信の攻撃元のIPアドレスから地理情報を取得する。生成部132は、例えば、地球202の表面における取得した地理情報に対応する領域に、攻撃元を示す印206を配置する。生成部132は、攻撃先の装置に配置された印と、攻撃元を示す印とを結ぶ線分を配置する。生成部132は、画像201の例では、攻撃先の装置204に配置された印207と、攻撃元を示す印206とを結ぶ線分210を配置する。図5中の他の例では、生成部132は、不正な通信が検知された攻撃先の装置に配置された印209と、攻撃元を示す印208とを結ぶ線分211を配置する。
生成部132は、サイバー攻撃のレベルが所定未満の場合には、攻撃を受けた装置を示す印は配置せず、当該レベルに対応するレイヤに攻撃元を示す印が配置された画像を生成する。また、生成部132は、サイバー攻撃のレベルが所定以上の場合には、サイバー攻撃を受けた装置を示す印が当該装置とともに配置され、当該レベルに対応するレイヤにおける当該装置に対応する領域の明度または色が変更された画像を生成する。言い換えると、生成部132は、ファイアウォールのイベントおよびIPSイベントの場合には、対応するレイヤの攻撃元の領域に、例えば、明度または色が変更された印が配置された画像を生成する。また、生成部132は、マルウェアおよび不正な通信の場合には、対応するレイヤの攻撃先の装置とともに印が配置され、地球202の表面の攻撃元の領域に印が配置された画像を生成する。
また、生成部132は、例えば、マルウェアの検知に係る印を青色で表し、不正な通信に係る印を赤色で表すことができる。すなわち、生成部132は、例えば、脅威の高さに応じて異なる警戒色を用いて印を表す。また、生成部132は、画像201を動画像とし、攻撃元を示す印から攻撃先の装置に配置された印に向かって、攻撃を表す印、例えば、光点を移動させるようにしてもよい。さらに、生成部132は、例えば、対処済みのサイバー攻撃に対応する装置および攻撃元を示す印を、未対処の装置および攻撃元を示す印と異なる色で描画して配置してもよい。生成部132は、例えば、未対処の不正な通信に係る印を赤色で描画し、対処済みの不正な通信に係る印を緑色で描画して配置することができる。
また、生成部132は、各検知レベルの攻撃回数、攻撃元の地理情報等を地球202の周囲に配置する。図5の例では、生成部132は、画像201の右上から順番に、不正な通信を示す領域212、マルウェアを示す領域213、IPSイベントを示す領域214、および、ファイアウォールのイベントを示す領域215を配置する。また、生成部132は、例えば、画像201の左側の内側から外側に向かって順番に、攻撃元のIPアドレスに対応する地理情報を示す領域216、不正な通信を示す領域217、マルウェアを示す領域218、IPSイベントを示す領域219、および、ファイアウォールのイベントを示す領域220を配置する。
生成部132は、領域212に、例えば、所定時間内に発生した不正な通信の件数を示す。生成部132は、領域213に、例えば、マルウェアの攻撃パターンの種類と件数を示す。生成部132は、領域214に、例えば、IPSイベントを、さらに脅威の段階を分けた所定時間内の時系列のグラフを示す。生成部132は、領域215に、例えば、ファイアウォールの許可件数とブロック件数の所定時間内の時系列のグラフを示す。
生成部132は、領域216に、例えば、攻撃元のIPアドレスに対応する地理情報として、国名を示す。生成部132は、領域217に、例えば、地理情報に応じた不正な通信の攻撃元を表す印を示す。生成部132は、領域218に、例えば、地理情報に応じたマルウェアの攻撃元を表す印を示す。生成部132は、領域219に、例えば、地理情報に応じたIPSイベントの攻撃元および件数を示す。生成部132は、領域220に、例えば、ファイアウォールでブロックした通信の攻撃元および件数を示す。ここで、領域219および領域220は、例えば、日について比較した差分を表示するようにしてもよい。すなわち、生成部132は、例えば、ある月の月始の日と月末の日とを比較し、月末の日の方が件数が多い場合には、基準より左にグラフを伸ばし月始の日の方が件数が多い場合には、基準より右にグラフを伸ばす。
また、生成部132は、例えば、1ヶ月の攻撃の履歴を日ごとに表示する領域221を配置する。生成部132は、領域221に、例えば、日ごとに不正な通信、マルウェア、IPSイベント、ファイアウォールのイベント等を配置する。また、生成部132は、領域222に、領域219および領域220で比較する日付、現在時刻等を配置する。
次に、図6および図7を用いて画像の生成の他の一例について説明する。図6は、攻撃を受けた場合の画像の他の一例を示す説明図である。図6に示す画像231は、図5に示す画像201と比べて、衛星軌道203の外側に配置した詳細情報を省略したものである。画像231は、地球202および衛星軌道203を画像201と比べて大きく配置できるので、攻撃元の地理情報をより把握しやすくなる。
図7は、攻撃を受けた場合の画像の他の一例を示す説明図である。図7に示す画像241は、自組織の各装置と攻撃元との関係を示す。生成部132は、例えば、画像の中央付近に地球202aを配置し、サイバー攻撃の対象となる装置を地球202aの右側の領域242に配置する。また、生成部132は、例えば、地球202aの左側に内側から外側に向かって順番に、攻撃元のIPアドレスに対応する地理情報を示す領域243、不正な通信を示す領域244、および、マルウェアを示す領域245を配置する。また、生成部132は、例えば、領域245の外側に、内側から外側に向かって順番に、IPSイベントを示す領域246、および、ファイアウォールのイベントを示す領域247を配置する。ここで、領域246および領域247は、図5の領域219および領域220と同様に、例えば、日について比較した差分を表示するようにしてもよい。
また、生成部132は、領域242の攻撃先の装置と、領域243の攻撃元のIPアドレスに対応する地理情報とを結ぶ線分248を配置する。生成部132は、例えば、マルウェアによる攻撃について、攻撃先の装置252と、領域245に印251が配置されている攻撃元の地理情報「Ukraine」とを結ぶ線分248を配置する。なお、図7中、領域242の各装置と領域243の各地理情報とを結ぶ線分248は、一部を省略している。同様に、生成部132は、例えば、不正な通信による攻撃について、攻撃先の装置250と、領域244に印249が配置されている攻撃元の地理情報「Italy」とを結ぶ線分248を配置する。
また、生成部132は、各検知レベルの攻撃回数等を図5と同様に、領域212〜215に配置する。さらに、生成部132は、例えば、1ヶ月の攻撃の履歴を日ごとに表示する領域221を図5と同様に配置する。生成部132は、領域222に、領域246および領域247で比較に用いる日付、現在時刻等を配置する。なお、上述の生成される画像は、各画像を含む画像情報として生成してもよい。
図1の説明に戻って、出力部133は、生成部132から生成された画像が入力されると、入力された画像を通信部110および内部ネットワークN2を介して、端末装置50に送信する。出力部133は、入力された画像が所定の時間間隔で更新される場合には、更新ごとに画像を端末装置50に送信する。また、出力部133は、入力された画像が動画像である場合には、例えば、RTSP(Real Time Streaming Protocol)、RTMP(Real Time Messaging Protocol)等を用いて端末装置50にストリーミング配信を行ってもよい。
次に、実施例1の表示装置の動作について説明する。図8は、実施例1の表示装置の処理の一例を示すフローチャートである。表示装置100の取得部131は、通信部110を介してイベント管理装置30からアラート情報およびイベント情報のうち1つ以上を取得する。取得部131は、入力されたイベント情報を、例えば、所定の時間ごとに統計解析を行って統計情報を生成し取得する(ステップS1)。取得部131は、生成した統計情報を統計情報記憶部122に記憶する。また、取得部131は、入力されたアラート情報をアラート情報記憶部123に記憶する。
生成部132は、統計情報記憶部122およびアラート情報記憶部123を参照し、統計情報およびアラート情報を取得する。生成部132は、取得した統計情報およびアラート情報に基づいて、サイバー攻撃の検知レベルに対応するレイヤについて、攻撃元および対象の装置に対応する領域の表示を変更する(ステップS2)。生成部132は、例えば、攻撃先の装置付近を頂点とした揺らぎを対応するレイヤに発生させる。
生成部132は、マルウェアの検知、または、不正な通信が発生した場合に、攻撃先の装置、つまり対象の装置に、攻撃を受けたことを示す印を配置する。また、生成部132は、地球の表面における攻撃元のIPアドレスに対応する地理情報の領域、つまり攻撃元の地表に攻撃元を示す印を配置する(ステップS3)。
生成部132は、攻撃先の装置に配置された印と、攻撃元を示す印とを結ぶ線分を配置する(ステップS4)。すなわち、生成部132は、ステップS2〜S4で、攻撃に対応するレイヤについて揺らぎを発生させ、対象の装置と攻撃元の地表とに印を配置し、印の間を結ぶ線分を配置した画像を生成する。生成部132は、生成した画像を出力部133に出力する。出力部133は、通信部110および内部ネットワークN2を介して、生成された画像を端末装置50に出力する。これにより、端末装置50では、自組織の各装置に対するサイバー攻撃の脅威を分り易く表示することができる。
このように、表示装置100は、サイバー攻撃の対象となる装置に関して検知されたサイバー攻撃の情報を取得する。また、表示装置100は、地球を示す画像と、該地球を示す画像の周囲に配置された装置を示す画像と、地球を示す画像の表面と装置を示す画像との間に配置され、取得したサイバー攻撃の情報に基づき、装置に関して検知されたサイバー攻撃のレベルを示す画像とを含む画像情報を生成し、該生成された画像情報を出力する。その結果、装置に対するサイバー攻撃の脅威を分り易く表示できる。また、サイバー攻撃に詳しくない人物、例えば、経営層の人物に対して、サイバー攻撃の脅威を分り易く表示できる。
また、表示装置100は、地球を示す画像の表面と装置を示す画像との間にレベルに対応する複数のレイヤが配置され、レベルに応じたレイヤについてサイバー攻撃の攻撃元または装置に対応する領域の表示が変更された画像情報を生成する。その結果、攻撃元がどこであり、攻撃のレベルがどの程度であり、攻撃先がどの装置であるかを分り易く表示できる。また、脅威の低い攻撃の回数および増加パターン等に基づく重大な脅威の予兆を分り易く表示できる。
また、表示装置100は、レベルが低いほど当該レベルに対応するレイヤが地球を示す画像の表面の側に配置され、レベルが高いほど当該レベルに対応するレイヤが装置を示す画像の側に配置された画像情報を生成する。その結果、装置に近いレイヤであるかどうかで装置に対する攻撃のレベルが高いか低いかを分り易く表示できる。
また、表示装置100は、レベルが所定未満の場合には、サイバー攻撃を受けた装置を示す印は配置せず、レベルに対応するレイヤに攻撃元を示す印が配置された画像情報を生成する。その結果、サイバー攻撃の脅威が未だ高くないことを分り易く表示できる。
また、表示装置100は、レベルが所定以上の場合には、サイバー攻撃を受けた装置を示す印が装置を示す画像とともに配置され、レベルに対応するレイヤにおける装置を示す画像に対応する領域の明度または色が変更された画像情報を生成する。その結果、ある装置に対するサイバー攻撃の脅威が高いことを分り易く表示できる。
また、表示装置100は、さらに、地球を示す画像の表面に攻撃元を示す印が配置され、印とサイバー攻撃を受けた装置を示す印とを結ぶ線分が配置された画像情報を生成する。その結果、どこからどの装置へのサイバー攻撃が脅威であるかを分り易く表示できる。
また、表示装置100は、対処済みのサイバー攻撃に対応する装置および攻撃元を示す印を、未対処の装置および攻撃元を示す印と異なる色で描画された画像情報を生成する。その結果、対処済みのサイバー攻撃を分り易く表示できる。
また、表示装置100は、装置を示す画像のうち、外部にIPアドレスが公開されている装置を示す画像が、それぞれ隣接するように地球を示す画像の周囲に配置された画像情報を生成する。その結果、サイバー攻撃を受けやすい装置を分り易く表示できる。
また、表示装置100は、同一種類の装置が複数ある場合に、各装置を示す画像を1つに纏めて地球を示す画像の周囲に配置され、1つに纏めて配置された装置を示す画像が選択されると、各装置のそれぞれの情報が表示された画像情報を生成する。その結果、数が多い装置の全体および個別の情報を分り易く表示できる。
また、上記実施例1では、外部ネットワークN1から自組織の各装置が攻撃を受ける場合を説明したが、自組織の装置から外部へのアクセスが発生した場合の画像を生成しても良く、この場合の実施の形態につき、実施例2として以下に説明する。
実施例2の表示装置は、実施例1の表示装置100と同一の機能構成であり、実施例1の表示装置100と同一の構成には同一符号を付すことで、その重複する構成および動作の説明については省略する。実施例2の表示装置が実施例1の表示装置100と異なるところは、自組織の装置から外部へのアクセスについて画像を生成する点にある。このため、実施例2では、生成部132で生成される画像について説明する。
図9は、自組織の装置から外部へのアクセスが発生した場合の画像の一例を示す説明図である。図9に示すように、画像261は、中心に地球202が配置され、地球202の外側の衛星軌道203上に、図5に示す画像201と同様に、サイバー攻撃の対象となる装置が配置される。また、画像261は、図5に示す画像201と同様に、ファイアウォールで検知した通信の宛先について、マスタ情報記憶部121を参照して宛先のIPアドレスに対応する地理情報を取得して、地球202の表面に配置される。
また、画像261は、図5に示す画像201と同様に、地球202の表面と衛星軌道203上の各装置との間に、IPSイベントを示す情報を表示するレイヤ205aが配置される。また、図示はしないが、図5のレイヤ205bおよびレイヤ205cに相当するマルウェアによる通信および不正な通信を示す情報を表示するレイヤが配置される。
生成部132は、例えば、衛星軌道203上の装置204から外部に対してマルウェアによる通信が発生した場合には、発信元の装置204に発信元を示す印262を配置する。また、生成部132は、例えば、マルウェアによる通信の宛先のIPアドレスに対応する地理情報の領域に宛先を示す印263を配置する。さらに、生成部132は、例えば、印262と印263とを結ぶ線分264を配置する。
また、生成部132は、例えば、図5に示す画像201と同様に、各検知レベルの検知回数、宛先の地理情報等を地球202の周囲に、領域212〜領域222として配置する。
次に、図10および図11を用いて画像の生成の他の一例について説明する。図10は、自組織の装置から外部へのアクセスが発生した場合の画像の他の一例を示す説明図である。図10に示す画像281は、図9に示す画像261と比べて、衛星軌道203の外側に配置した詳細情報を省略したものである。画像281は、地球202および衛星軌道203を画像261と比べて大きく配置できるので、宛先の地理情報をより把握しやすくなる。
図11は、自組織の装置から外部へのアクセスが発生した場合の画像の他の一例を示す説明図である。図11に示す画像301は、自組織の各装置と宛先との関係を示す。生成部132は、例えば、画像の中央付近に地球202bを配置し、外部へのアクセスが発生した装置を地球202bの右側の領域242に配置する。また、生成部132は、例えば、地球202bの左側に内側から外側に向かって順番に、宛先のIPアドレスに対応する地理情報を示す領域243、不正な通信を示す領域244、および、マルウェアを示す領域245を配置する。また、生成部132は、例えば、領域245の外側に、IPSイベントを示す領域246a、および、ファイアウォールのイベントを示す領域247aを配置する。領域247aは、例えば、領域246aと基準を合わせて重畳表示されるように配置する。ここで、領域246aおよび領域247aは、図5の領域219および領域220と同様に、例えば、日について比較した差分を表示するようにしてもよい。
また、生成部132は、領域242の外部へのアクセスが発生した装置と、領域243の宛先のIPアドレスに対応する地理情報とを結ぶ線分を配置する。生成部132は、例えば、マルウェアによる外部へのアクセスについて、外部へのアクセスが発生した装置305と、領域245に印306が配置されている宛先の地理情報「Viet Nam」とを結ぶ線分307を配置する。同様に、生成部132は、例えば、不正な通信による外部へのアクセスについて、外部へのアクセスが発生した装置302と、領域244に印303が配置されている宛先の地理情報「Brazil」とを結ぶ線分304を配置する。
また、生成部132は、各検知レベルのアクセス回数等を図5と同様に、領域212〜215に配置する。さらに、生成部132は、例えば、1ヶ月の外部へのアクセス履歴を日ごとに表示する領域221を図5と同様に配置する。生成部132は、領域222に、領域246aおよび領域247aで比較に用いる日付、現在時刻等を配置する。
このように、実施例2の表示装置は、サイバー攻撃の対象となる装置に関して検知された外部ネットワークN1へのアクセスの情報を取得する。また、実施例2の表示装置は、地球を示す画像と、該地球を示す画像の周囲に配置された装置を示す画像と、地球を示す画像の表面と装置を示す画像との間に配置され、取得した外部ネットワークへのアクセスの情報に基づき、装置に関して検知された外部ネットワークへのアクセスのレベルを示す画像とを含む画像情報を生成し、生成された画像情報を出力する。その結果、サイバー攻撃に伴う情報漏洩の脅威を分り易く表示できる。
なお、上記の各実施例では、サイバー攻撃の検知レベルを4段階としたが、これに限定されない。例えば、脅威のレベルが高い不正な通信とマルウェアの2段階とした画像を生成して出力するようにしてもよい。これにより、サイバー攻撃に詳しくない人物に対してもサイバー攻撃の脅威を分り易く表示できる。
また、上記の各実施例では、自組織の各装置を衛星軌道上に配置したが、これに限定されない。例えば、拠点、支店等を配置してもよい。これにより、拠点や支店が存在しない国や地域に対するアクセスが可視化され、不適切なアクセスについて管理者に気付きを与えることができる。
また、上記の各実施例では、セキュリティセンサ20にゲートウェイとファイアウォールとを設けたが、これに限定されない。例えば、ゲートウェイとファイアウォールとを別途設けてもよく、別途設けたファイアウォールからイベント管理装置30にファイアウォールのイベント情報を送信するようにしてもよい。
また、図示した各部の各構成要素は、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各部の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。例えば、生成部132を、画像201を生成する第1生成部と画像241を生成する第2生成部とに分散する構成としてもよい。
さらに、各装置で行われる各種処理機能は、CPU(またはMPU、MCU(Micro Controller Unit)等のマイクロ・コンピュータ)上で、その全部または任意の一部を実行するようにしてもよい。また、各種処理機能は、CPU(またはMPU、MCU等のマイクロ・コンピュータ)で解析実行されるプログラム上、またはワイヤードロジックによるハードウェア上で、その全部または任意の一部を実行するようにしてもよいことは言うまでもない。
ところで、上記の実施例で説明した各種の処理は、予め用意されたプログラムをコンピュータで実行することで実現できる。そこで、以下では、上記の実施例と同様の機能を有するプログラムを実行するコンピュータの一例を説明する。図12は、表示プログラムを実行するコンピュータの一例を示す説明図である。
図12が示すように、コンピュータ400は、各種演算処理を実行するCPU401と、データ入力を受け付ける入力装置402と、モニタ403とを有する。また、コンピュータ400は、記憶媒体からプログラム等を読み取る媒体読取装置404と、各種装置と接続するためのインタフェース装置405と、他の情報処理装置等と有線または無線により接続するための通信装置406とを有する。また、コンピュータ400は、各種情報を一時記憶するRAM407と、ハードディスク装置408とを有する。また、各装置401〜408は、バス409に接続される。
ハードディスク装置408には、図1に示した取得部131、生成部132および出力部133の各処理部と同様の機能を有する表示プログラムが記憶される。また、ハードディスク装置408には、マスタ情報記憶部121、統計情報記憶部122、アラート情報記憶部123、および、表示プログラムを実現するための各種データが記憶される。入力装置402は、例えば、コンピュータ400の管理者から操作情報等の各種情報の入力を受け付ける。モニタ403は、例えば、コンピュータ400の管理者に対して各種画面を表示する。インタフェース装置405は、例えば印刷装置等が接続される。通信装置406は、例えば、図1に示した通信部110と同様の機能を有し、イベント管理装置30および内部ネットワークN2と接続され、イベント管理装置30および端末装置50と各種情報をやりとりする。
CPU401は、ハードディスク装置408に記憶された各プログラムを読み出して、RAM407に展開して実行することで、各種の処理を行う。また、これらのプログラムは、コンピュータ400を図1に示した取得部131、生成部132および出力部133として機能させることができる。
なお、上記の表示プログラムは、必ずしもハードディスク装置408に記憶されている必要はない。例えば、コンピュータ400が読み取り可能な記憶媒体に記憶されたプログラムを、コンピュータ400が読み出して実行するようにしてもよい。コンピュータ400が読み取り可能な記憶媒体は、例えば、CD−ROMやDVDディスク、USB(Universal Serial Bus)メモリ等の可搬型記録媒体、フラッシュメモリ等の半導体メモリ、ハードディスクドライブ等が対応する。また、公衆回線、インターネット、LAN等に接続された装置にこの表示プログラムを記憶させておき、コンピュータ400がこれらから表示プログラムを読み出して実行するようにしてもよい。